Аудит безопасности

[serpuh]

indows XP SP3+NOD32+все обновления.Все лазейки из сети отключены(так думаю).
Тип события: Аудит успехов
Источник события: Security
Категория события: Изменение политики
Код события: 848
Дата: 27.05.2010
Время: 22:52:03
Пользователь: NT AUTHORITY\SYSTEM
Компьютер:
Описание:
Следующая политика была активна при запуске брандмауэра Windows.

Примененная групповая политика: Нет
Используемый профиль: Обычный
Интерфейс: Все интерфейсы
Рабочий режим: Вкл
Службы
Общий доступ к файлам и принтерам: Отключено
Удаленный рабочий стол: Отключено
UPnP-инфраструктура: Отключено
Разрешать удаленных администраторов: Отключено
Разрешать ответы для многоадресного и широковещательного трафика: Отключено
Ведение журнала безопасности:
Записывать отброшенные пакеты: Отключено
Записывать успешные подключения: Отключено
ICMP:
Разрешать запрос входящего эха: Отключено
Разрешать запрос входящего штампа времени: Отключено
Разрешать запрос входящей маски: Отключено
Разрешать запрос входящего маршрутизатора: Отключено
Разрешать сообщение "Исходящее назначение недоступно": Отключено
Разрешать снижение скорости источника исходящих сообщений: Отключено
Разрешать сообщение "Проблема исходящего параметра": Отключено
Разрешать превышение исходящего времени: Отключено
Разрешать перенаправление: Отключено
Разрешать сообщение "Исходящий пакет слишком велик": Отключено

Все лишние программы деинсталированы с доп.очисткой.

Администрирование>просмотр событий>безопасность>аудит отслеживание процессов.

Тип события: Аудит отказов
Источник события: Security
Категория события: Подробное отслеживание
Код события: 861
Дата: 28.05.2010
Время: 0:57:49
Пользователь: NT AUTHORITY\NETWORK SERVICE
Компьютер:
Описание:
Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

Имя: -
Путь: C:6\WINDOWS\system32\svchost.exe
Код процесса: 896
Учетная запись пользователя: NETWORK SERVICE
Домен пользователя: NT AUTHORITY
Служба: Да
RPC-сервер: Нет
IP-версия: IPv4
IP-протокол: UDP
Номер порта: 62032
Разрешено: Нет
Пользователь извещен: Нет

Номера портов от 40000 и до отказа.Сериями от одного до нескольких десятков.Периодичность от нескольких секунд до десятков минут.Активность компа не влияет.AVZ даёт перечень модулей процесса,но все 32 признаны(им же,т.е. AVZ) безопасными.HiJack процесс обрывает и даже не видит(встроенный в винд обрывает,но видит).Поймать его вручную не выходит.Сканирование компа на разную заразу ничего не показывает.В сети ничего не нашёл.На Virusinfo есть вялое утверждение,что мол так и должно быть,но без оьъяснений КТО и ЧТО слушает.На мой взгляд это и есть главный вопрос,который присутствует в сети без внятных объяснений.
Если можно,полный и ясный расклад ситуации.

[NRA]

ИМО тема не совсем там - нужнее в "пАмАгИтЕ!", но если вкратце:

1) Admin?
2) встроенный фаер - только от входящих и легко обходится всем кому не очень лень: нужет железный рутер или хотя бы независимый фаервол или
3) а чем-то типа Radmin никто не балуется?
4) что во время активности показывает netstat -a -b
5) в случае сомнений sfc /scannow + install CD данной OS

[serpuh]

Почему пропадает авторизация до отправления ответа???

Добавлено через 28 минут

ИМО тема не совсем там - нужнее в "пАмАгИтЕ!", но если вкратце:

1) Admin?
2) встроенный фаер - только от входящих и легко обходится всем кому не очень лень: нужет железный рутер или хотя бы независимый фаервол или
3) а чем-то типа Radmin никто не балуется?
4) что во время активности показывает netstat -a -b
5) в случае сомнений sfc /scannow + install CD данной OS

1)Иначе аудит безопасности НЕдоступен.
2)Если встроенный всё фиксирует и не пускает в сеть,зачем усложнять?
3)???
4)Время активности(см.выше),а в остальное время этих портов нет.
5)А какой в этом смысл?Эта операция никак не влияет на файлы добавленные в процессе обновлений Windows,инсталяций и т.п.
В этом и есть мой главный вопрос,КТО и ЧТО может слушать эти порты,хотя бы теоретически.В процессе обновлений Windows появляются всякие "агенты безопасности"?,но механизм их работы не прилагается.Если честно,я и не заморачивался на анализе этих обновлений,а похоже зря.С другой стороны такой анализ требует знаний на уровне программиста,что для среднестатистического пользователя тема полностью тёмная и исследованию не подлежит.Учитывая,что чудес в компе не бывает,вирусов нет,напрашивается определённый вывод.К тому же периодически нахожу много временных файлов с адресом "[email protected]"?,значение которых я так же не установил.

[NRA]

1) RunAS, SuRun, MakeMeAdmin...
2) фиксирует не "всё", а только то, что легально просится
4) netstat /? и выбираем интересующую информацию о портах (хотя можно и APS, и AVZ, и другой спецсофт)
5) методом исключения можно найти виновного (если после проверки ситуация осталась, то проблема именно в "обновлении")

Кстати, обычно все лишние (не используемые) группы и пользаветели сразу удаляются.

[serpuh]

1)RunAS хорош,когда всё стабильно и нет нужды в правах.Однако для многих программ и манипуляций на компе это не совсем так и постоянное клацанье на вкладках заметно напрягает.
2)Возможно,т.к. вникать в алгоритмы программ как-то не входило в мои планы.Уверен,99% пользователей любую программу используют как "чёрный ящик"-зная,что есть ДО и надеясь получить обещанный результат после,ну,может немного в настройках подкрутить.Практически не видел описаний компонент Windows с целью самостоятельно разобраться как оно работает(в отличие от Linux,но там свои проблемы).Да,хотелось бы знать Wind поглубже,но,как я понимаю,это не входит в планы MS,да и тех кто её знает не по форумам.Надо добавить,что процесс углубления в Wind занимает всё свободное время в поиске достоверной информации,а не бездны левых советов,ну,хотя бы на тему настройки служб,прав пользователя и т.п.,вместо ясного и глубокого описания алгоритма данных компонент.Что собственно происходит и с аудитом,информации много,но нет однозначного ясного ответа.

Вот работа АРS:

Тип события: Аудит отказов
Источник события: Security
Категория события: Подробное отслеживание
Код события: 861
Дата: 03.06.2010
Время: 8:47:56
Пользователь: xxxxxxxxxxx
Компьютер:xxxxxxxxxxx
Описание:
Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

Имя: aps
Путь: E:\ПО\APS\aps\aps\aps.exe
Код процесса: 1504
Учетная запись пользователя:
Домен пользователя:
Служба: Нет
RPC-сервер: Нет
IP-версия: IPv4
IP-протокол: UDP
Номер порта: 50829
Разрешено: Нет
Пользователь извещен: Нет

А вот,что я пытаюсь выяснить:

Тип события: Аудит отказов
Источник события: Security
Категория события: Подробное отслеживание
Код события: 861
Дата: 03.06.2010
Время: 9:43:10
Пользователь: NT AUTHORITY\NETWORK SERVICE
Компьютер:xxxxxxxxxxx
Описание:
Брандмауэр Windows обнаружил приложение, прослушивающее входящий трафик.

Имя: -
Путь: C:6\WINDOWS\system32\svchost.exe
Код процесса: 924
Учетная запись пользователя: NETWORK SERVICE
Домен пользователя: NT AUTHORITY
Служба: Да
RPC-сервер: Нет
IP-версия: IPv4
IP-протокол: UDP
Номер порта: 51814
Разрешено: Нет
Пользователь извещен: Нет

Вот не вижу я НИКАКОЙ полезной информации в этих сообщениях.

ProcX,AVZ,HiJack аналогично!Методом тыка(т.к. пока не нашёл даже примерной оценки этого события) обнаружил,что этот процесс анализирует все?(по крайней мере те процессы,которые могут его фиксировать) и не проявляет активности,когда они активны.Поэтому указанные программыпо моему разумению бесполезны в данном случае.Других вариантов не знаю,т.к. не понимаю происходящего.Замена встроенного брандмауэра не ответит на вопрос "кто стучится в дверь моя".Да и переставить Wind мне много проще,но хочется понять каких ещё сюрпризов можно получить от Wind&MS.
4)netstat ничуть не эффективнее в данном случае.Процесс обрывается и netstat выдаёт информацию о всём,что не относится к уже оконченному процессу.
Чтобы было понятнее такой пример.Запускаю AVZ или HiJack и пока они активны ничего не происходит!?Можно было бы выкладывать сюда логи ,но там ничего НЕТ!Надеюсь по понятным причинам.
5)Чтобы что-то исключать,нужна хоть какая-то зацепка.У меня её нет.И как говорил один персонаж:"Меня терзают смутные подозрения..."
И об обновлениях.Там происходит НЕЧТО.После них я убираю много чего,в том числе и в правах пользователя и в локальной безопасности.Дело доходило до создания локального пользователя ASPNET и размещением на странице входа локальных пользователей.Я этот юмор не просёк и удалил нафиг,а службу отключил.После сего действа обновления вообще не беспокоят.Пытался понять связь,тщетно.По крайней мере из описаний ASPNET это не прослеживается.Локальных пользователей двое и админ под паролями,остальные давно удалены.
Какие есть соображения?